ISO 27002:2022 controle 5.3 — Scheiding van taken, voorheen bekend als controle 6.1.2 in ISO 27002:2013, definieert het systeem waarmee conflicterende taken en conflicterende verantwoordelijkheidsgebieden worden gescheiden.
Elke organisatie beschikt over een reeks beleidslijnen en procedures (P&P's) die de interne werking regelen. P&P's zouden gedocumenteerd moeten zijn, maar vaak is dat niet het geval.
Als deze P&P's niet duidelijk zijn of niet goed worden gecommuniceerd, ontstaat er verwarring onder werknemers over hun verantwoordelijkheden. Dit kan nog erger worden als werknemers overlappende verantwoordelijkheden of conflicterende verantwoordelijkheidsgebieden hebben.
Conflicten kunnen ontstaan wanneer twee of meer werknemers vergelijkbare of verschillende verantwoordelijkheden hebben ten aanzien van een bepaalde taak. Wanneer dit gebeurt, kunnen de werknemers uiteindelijk twee keer hetzelfde doen, of verschillende dingen doen die elkaars inspanningen teniet doen. Dit verspilt bedrijfsmiddelen en vermindert de productiviteit, wat zowel de bedrijfsresultaten als het moreel van het bedrijf beïnvloedt.
Om ervoor te zorgen dat uw organisatie niet onder dit probleem lijdt, is het belangrijk om te begrijpen wat conflicterende verantwoordelijkheden zijn, waarom ze voorkomen en hoe u kunt voorkomen dat ze in uw organisatie voorkomen. Voor het grootste deel betekent dit het scheiden van taken, zodat verschillende mensen met verschillende taken omgaan rollen in de organisatie.
Controles worden geclassificeerd op basis van hun attributen. Met attributen kunt u uw controleselectie afstemmen op industriestandaarden en taalgebruik. In controle 5.3 zijn dit:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Governance #Identiteits- en toegangsbeheer | #Governance en ecosysteem |
Het doel van controle 5.3 Scheiding van taken in ISO 27002 is het verminderen van het risico op fraude, fouten en het omzeilen van informatiebeveiligingscontroles door ervoor te zorgen dat conflicterende taken worden gescheiden.
Beheersing 5.3 behandelt de implementatierichtlijnen voor scheidingstaken en plichten in een organisatie in lijn met de raamwerken van ISO 27001 .
Het principe houdt in dat sleuteltaken worden opgedeeld in subtaken en deze aan verschillende mensen worden toegewezen. Hierdoor ontstaat een systeem van checks and balances dat de kans op fouten of fraude kan verkleinen.
De controle is bedoeld om te voorkomen dat één persoon ongepaste handelingen kan plegen, verhullen en rechtvaardigen, waardoor het risico op fraude of fouten wordt verkleind. Het voorkomt ook dat één persoon informatiebeveiligingsmaatregelen kan omzeilen.
Als één medewerker alle rechten heeft die nodig zijn voor een bepaalde taak, is er een groter risico op fraude of fouten, omdat één persoon alles kan doen zonder enige controle en evenwicht. Als echter geen enkele persoon alle toegangsrechten heeft die nodig zijn voor een bepaalde taak, verkleint dit het risico dat een werknemer aanzienlijke schade of financieel verlies kan veroorzaken.
Taken en verantwoordelijkheden die niet gescheiden zijn, kunnen leiden tot fraude, misbruik, ongepaste toegang en andere beveiligingsincidenten.
Bovendien is een scheiding van taken nodig om de risico's die gepaard gaan met mogelijke collusie tussen individuen te beperken. Deze risico's nemen toe als er onvoldoende controles zijn om collusie te voorkomen of op te sporen.
Om te voldoen aan de vereisten voor controle 5.3 in ISO 27002:2022 moet de organisatie bepalen welke taken en verantwoordelijkheidsgebieden moeten worden gescheiden en welke uitvoerbare scheidingscontroles moeten worden ingevoerd.
Waar dergelijke controles niet mogelijk zijn, met name voor kleine organisaties met een minimale personeelssterkte, kan het monitoren van activiteiten, audit trails en managementtoezicht kan worden gebruikt. Voor grotere organisaties kunnen geautomatiseerde tools worden gebruikt om rollen te identificeren en te scheiden, zodat conflicterende rollen niet aan mensen worden toegewezen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Het controlenummer 5.3 Scheiding van taken in ISO 27002:2022 is geen nieuwe controle. Het is eenvoudigweg een verbeterde versie van controle 6.1.2 Scheiding van taken uit ISO 27002:2013.
De basisprincipes van functiescheiding zijn hetzelfde in zowel controle 5.3 ISO 27002:2022 als controle 6.1.2 ISO 27002:2013. De nieuwe versie beschrijft echter een reeks activiteiten die scheiding vereisen bij het implementeren van deze controle.
Deze activiteiten zijn:
a) het initiëren, goedkeuren en uitvoeren van een wijziging;
b) het aanvragen, goedkeuren en implementeren van toegangsrechten;
c) code ontwerpen, implementeren en beoordelen;
d) het ontwikkelen van software en het beheren van productiesystemen;
e) het gebruiken en beheren van applicaties;
f) het gebruiken van applicaties en het beheren van databases;
g) ontwerpen, auditeren en borgen controles op informatiebeveiliging.
Er zijn meerdere mensen die verantwoordelijk zijn voor de scheiding van taken in ISO 27002. Eerst moet een senior lid van het managementteam erbij betrokken worden om ervoor te zorgen dat de initiële risico-evaluatie Het is gedaan.
Vervolgens moeten de processen die verschillende delen van de organisatie bestrijken, worden toegewezen aan verschillende groepen gekwalificeerde medewerkers. Om te voorkomen dat malafide werknemers de bedrijfsveiligheid ondermijnen, wordt dit meestal gedaan door taken toe te wijzen aan verschillende werkeenheden en de IT-gerelateerde operationele en onderhoudsactiviteiten in afdelingen te verdelen.
Ten slotte kan de scheiding van taken niet correct tot stand worden gebracht zonder een passend IT-auditprogramma, een effectieve strategie voor risicobeheer en een passende controleomgeving.
De nieuwe ISO 27002:2022-norm vereist niet veel anders van u upgrade uw ISMS processen die de verbeterde controles weerspiegelen. En als uw team dit niet voor elkaar krijgt, ISMS.online kan jou helpen.
ISMS.online stroomlijnt het ISO 27002-implementatieproces door een geavanceerd cloudgebaseerd raamwerk te bieden voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.
Wanneer u ISMS.online gebruikt, kunt u:
Dankzij ons cloudgebaseerde platform is het nu mogelijk om uw checklists centraal te beheren, te communiceren met collega's en een uitgebreide set tools te gebruiken om uw organisatie te helpen een ISMS te creëren en te exploiteren in overeenstemming met wereldwijde best practices.
Neem vandaag nog contact op met boek een demo.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
